Доброго дня, уважаемые коллеги — исследователи, аналитики и практики в области компьютерной безопасности! 👋🔬 В условиях экспоненциального роста числа инцидентов, связанных с несанкционированным сбором и эксфильтрацией персональных, корпоративных и государственных данных, проблема раннего и достоверного выявления шпионского программного обеспечения приобретает характер фундаментальной научно-практической задачи. Согласно статистике, более 68% атак с использованием вредоносного ПО приходится на программы-шпионы различных типов — от простых кейлоггеров до полиморфных RAT-клиентов. В этой связи разработка и совершенствование методологического аппарата для системного поиска и выявления программ-слежения становится критическим элементом стратегии обеспечения информационной безопасности как на уровне отдельных хозяйствующих субъектов, так и в масштабах национальной критической информационной инфраструктуры. 🏢⚙️
В настоящей статье представлен научный обзор современных подходов к поиску и выявлению программ-слежения, включая таксономию угроз, формальные модели обнаружения, экспериментальные результаты и эмпирические данные, полученные в ходе лабораторных исследований и реальных экспертных кейсов. Предложена иерархическая классификация шпионского ПО по способу внедрения, архитектуре сбора данных и стойкости к обнаружению. Рассмотрены методы статического, динамического и сетевого анализа, а также формальные подходы к оценке эффективности детекции на основе многопризнаковых моделей. Особое внимание уделено практическим аспектам выездного криминалистического анализа стационарных серверов и изолированных систем, выполняемого нашей лабораторией в Москве и в любом регионе Российской Федерации. 🧠📡
📚 Глава 1. Таксономия и классификация объектов исследования
Системный поиск и выявление программ-слежения начинается с построения непротиворечивой классификации исследуемых объектов. В рамках научного подхода под программами-слежения (spyware, stalkerware, tracking software) понимается класс вредоносного или потенциально нежелательного ПО (PUP), предназначенного для негласного сбора, агрегации и эксфильтрации пользовательских данных без явно выраженного согласия субъекта персональных данных. К таким данным относятся: нажатия клавиш, содержимое буфера обмена, скриншоты активных окон, геолокационные координаты, список контактов, записи с микрофона и камеры, история веб-серфинга, а также метаданные файлов.
1.1. Иерархическая классификация по способу внедрения
Для эффективной детекции необходимо понимать морфологию угрозы. В настоящей работе предлагается следующая классификация по способу внедрения :
- Легальные приложения с опцией слежения: Родительский контроль, DLP-системы, корпоративные мониторы — при отсутствии уведомления пользователя переходят в разряд шпионских инструментов.
- Троянизированные установщики: Внедрение вредоносного кода в кряки, кейгены, моды игр и иное пиратское ПО.
- Вредоносные расширения браузеров: Похитители куки-файлов, сессий, данных форм логина.
- Закладки уровня прошивки (UEFI/BIOS): Крайне редкий, но наиболее сложный для обнаружения вектор.
1.2. Классификация по архитектуре сбора данных
- Клиентские: Локальный сбор данных с последующей отправкой на C&C-сервер.
- Агентские: Распределённая сеть с централизованной панелью управления.
- Модульные: Подгрузка плагинов-шпионов по требованию C&C-сервера.
1.3. Классификация по стойкости к обнаружению
- Сигнатурно-детектируемые: Простые, устаревшие образцы.
- Обфусцированные: Использование упаковщиков (UPX, VMProtect, Themida) для затруднения статического анализа.
- Бесфайловые: Исполнение кода непосредственно в оперативной памяти без записи на диск. Такие угрозы невозможно обнаружить при сканировании файловой системы.
- Rootkit-ориентированные: Скрытие процессов, файлов, ключей реестра и сетевых портов через перехват системных вызовов (SSDT, IDT).
1.4. Категоризация по целевому функционалу
- Кейлоггеры (Keyloggers): Фиксируют нажатия клавиш. Как отмечают исследователи Санкт-Петербургского Федерального исследовательского центра РАН, кейлоггеры могут использоваться как для легитимных целей (мониторинг сотрудников), так и для злонамеренных — кражи паролей, финансовых данных и идентификационной информации. Учёными был разработан подход к обнаружению кейлоггеров на основе анализа сетевого трафика с применением методов машинного обучения.
- Трояны удаленного доступа (RAT): Обеспечивают полный контроль над системой, включая активацию камеры и микрофона, кражу файлов, геолокацию.
- Информационные сборщики (Data Stealers): Специализируются на извлечении данных из браузеров, мессенджеров, файлов с определёнными расширениями.
- Банковские трояны: Нацелены на перехват платёжной информации и кражу средств.
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY, Cocospy), маскирующиеся под системные процессы.
Данная классификация напрямую влияет на выбор методов и инструментов, используемых в процессе поиска и выявления программ-слежения. Игнорирование типа шпиона ведёт к ложным отрицаниям (false negatives) и, как следствие, к утечке данных.
🔬 Глава 2. Теоретические основы детекции spyware: формальные методы и модели
Методология обнаружения базируется на трёх фундаментальных подходах: сигнатурный анализ, поведенческий анализ и эвристическая оценка. Рассмотрим каждый из них с позиции формальных методов.
2.1. Сигнатурный анализ
Использует хеш-суммы (MD5, SHA-1, SHA-256) и уникальные байтовые последовательности в исполнимых файлах. Эффективен против известных образцов, но бесполезен против модифицированных сборок и полиморфного кода. Современный поиск и выявление программ-слежения не может полагаться только на сигнатуры. В лабораторной практике используются базы YARA-правил (более 5000 сигнатур для spyware).
2.2. Поведенческий анализ (динамический)
Реализуется через мониторинг системных вызовов (сисколлов), API-хуки и анализ трассировки выполнения. Подозрительной считается программа, которая :
- вызывает SetWindowsHookEx с параметром WH_KEYBOARD_LL (глобальный перехват клавиатуры);
- циклически читает содержимое буфера обмена (GetClipboardData);
- отправляет HTTP POST-запросы на неизвестный домен с телом, содержащим скриншот (base64);
- выполняет инжектирование кода в чужие процессы (VirtualAllocEx → WriteProcessMemory → CreateRemoteThread).
2.3. Эвристическая оценка и мультипризнаковые модели
Использует нечёткие правила и методы машинного обучения. В работе Wang S. et al. (2025) предложен подход ATSDetector, основанный на многопризнаковом анализе Android-троянов-шпионов, который комбинирует три типа признаков: статическую информацию (права доступа, API-вызовы), внутреннее поведение (системные вызовы на уровне ядра) и внешнее поведение (сетевой трафик). Эксперименты показали, что точность детекции достигает 96.81%, а коэффициент каппа — 93.62%. Это подтверждает гипотезу о том, что комплексный поиск и выявление программ-слежения требует сочетания гетерогенных источников данных.
2.4. Математическое моделирование распределенных алгоритмов
В работе Ярославцева А.Ф. (СибГУТИ) предложена аналитическая модель для оценки вероятностно-временных характеристик распределенных алгоритмов обнаружения программ-шпионов в телекоммуникационных системах. Модель базируется на аппарате замкнутых неоднородных сетей массового обслуживания и позволяет оценить среднее время реагирования, коэффициенты загрузки оборудования и вероятность доставки измерительной информации до сервера мониторинга. Данный подход особенно актуален для детекции программных закладок в коммуникационном оборудовании, которые не могут быть обнаружены локальными средствами.
⚡ Глава 3. Эмпирические кейсы и результаты экспериментальных исследований
В рамках практического поиска и выявления программ-слежения нами был проведён анализ нескольких реальных инцидентов, демонстрирующих разнообразие векторов атак и эффективность комплексной методологии.
Кейс №1: Обнаружение руткита уровня ядра на промышленном сервере (Москва) 🏭🧠
Вводные данные: Крупный производитель промышленного оборудования обнаружил, что чертежи новой линейки станков оказались у конкурента. Внутренняя ИБ-служба провела поверхностную проверку, но не выявила угроз.
Методология: Выездная группа создала образы дисков всех критичных машин с использованием аппаратного блокиратора записи (write-blocker). Выполнен анализ оперативной памяти трёх серверов, которые нельзя было отключать — использован live-дамп через FTK Imager. Проведена глубокая сверка хешей системных файлов с эталонными образами.
Результат: На одном из серверов обнаружен руткит уровня ядра, перехватывавший обращения к файлам с расширениями.dwg,.sldprt,.stp и отправлявший их копии на внешний сервер. Инструментарий поиска и выявления программ-слежения позволил зафиксировать факт заражения и восстановить временную шкалу утечки.
Кейс №2: GoblinRAT — скрытая атака на российские ведомства (2020-2023) 🕵️♂️💻
Вводные данные: Эксперты центра исследования киберугроз Solar 4RAYS обнаружили уникальное вредоносное ПО GoblinRAT в сетях нескольких российских ведомств и ИТ-компаний, обслуживающих госсектор. Самые ранние следы заражения датируются 2020 годом.
Особенности ВПО, затрудняющие его обнаружение :
- Самоуничтожение: Вредонос самоуничтожается спустя определённое время, если оператор не подключается к нему и не сообщает специальный код, при этом несколько раз перезаписывая содержимое своих файлов случайными символами для усложнения расследования.
- Маскировка: Маскируется под уже имеющийся на заражённой машине процесс, изменяя название и аргументы командной строки. В некоторых случаях работал внутри легитимного приложения.
- Port knocking: В серверной версии используется техника Port knocking, позволяющая шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет.
- Легитимные C&C-серверы: В качестве управляющих серверов использовались взломанные сайты легальных организаций (например, онлайн-ритейлера), что маскировало вредоносный трафик.
Значимость для методологии: Данный кейс демонстрирует, что профессиональный поиск и выявление программ-слежения требует не только автоматизированного сканирования, но и ручного анализа тысяч мегабайт данных, а также применения методов сетевой форензики для выявления beacon-трафика и техник сокрытия.
Кейс №3: Атака ForumTroll — коммерческий шпионаж Dante и уязвимость CVE-2025-2783 🎯🔓
Вводные данные: В марте 2025 года «Лаборатория Касперского» обнаружила целевую кампанию APT-группировки ForumTroll, нацеленную на сотрудников российских научно-исследовательских институтов и вузов. Злоумышленники использовали ранее неизвестную уязвимость в Chrome (CVE-2025-2783) для внедрения шпионского ПО.
Вектор проникновения: Фишинговые письма с предложением скачать «отчёт о плагиате» с поддельного сайта, имитирующего elibrary.ru. При переходе по ссылке и открытии браузера Chrome устройство заражалось без каких-либо действий со стороны пользователя (zero-click).
Особенности атаки:
- Использование коммерческого шпионского ПО Dante, разработанного итальянской компанией Memento Labs (преемник Hacking Team).
- Многоступенчатая цепочка заражения: ярлык-загрузчик → контакт с C&C-сервером → установка RAT-клиента Tuoni.
- Тщательная маскировка инфраструктуры: серверы размещены в облаке Fastly с ограничением повторных загрузок для усложнения анализа.
Значимость для методологии: Данный кейс иллюстрирует необходимость использования поведенческого анализа и поиска и выявления программ-слежения на основе дампов памяти, поскольку вредонос загружался только в момент исполнения и мог не оставлять следов на диске.
Кейс №4: Sednit — эволюция шпионских инструментов (2024-2026) 🏛️🌐
Вводные данные: Исследователи ESET задокументировали активность российской APT-группировки Sednit (связана с ГРУ), которая использовала обновлённый набор имплантов для слежки за украинскими военными и европейскими госструктурами.
Инструментарий :
- SlimAgent: Простой, но эффективный кейлоггер с функцией скриншоттинга и сбора данных буфера обмена. Эволюция модуля Xagent, используемого с 2018 года.
- BeardShell: Сложный имплант, выполняющий PowerShell-команды в среде.NET и использующий легитимный облачный сервис Icedrive в качестве C&C-канала.
- Covenant: Открытый.NET-фреймворк с более чем 90 встроенными задачами (эксфильтрация данных, мониторинг, сетевой pivoting), значительно модифицированный разработчиками Sednit.
Наблюдения: Применение двух параллельных имплантов (BeardShell и Covenant) обеспечивает устойчивость к инфраструктурным сбоям. В одном из кейсов устройства находились под мониторингом более шести месяцев.
Значимость для методологии: Кейс Sednit подтверждает, что современный поиск и выявление программ-слежения невозможен без анализа сетевых каналов (включая трафик к легитимным облачным провайдерам) и применения методов поведенческого анализа для выявления долгосрочного периодического beacon-трафика.
Кейс №5: Скрытая установка через прошивку EFI (Медицинский центр, Москва) 💉📟
Вводные данные: Из частной клиники пропали записи VIP-пациентов. Стандартный поиск и выявление программ-слежения на дисках ничего не дал.
Методология: Эксперты извлекли прошивку EFI через SPI-программатор. Внутри была обнаружена внедрённая DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учётные записи врачей.
Результат: Уникальный случай в российской практике. Продемонстрировал необходимость включения аппаратного анализа прошивок и загрузочных секторов в арсенал методов поиска и выявления программ-слежения самого высокого уровня сложности.
📋 Глава 4. Методологический аппарат экспертного исследования
На основе анализа теоретических моделей и эмпирических данных сформулирован комплексный методологический подход к поиску и выявлению программ-слежения, включающий пять последовательных этапов.
Этап 1: Подготовка и изоляция — сохранение целостности доказательств 🛡️
Золотое правило цифровой криминалистики: никогда не работать с оригинальным носителем.
- Изоляция: Устройство помещается в экранирующую среду для блокировки радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC) во избежание дистанционной команды на удаление данных (remote wipe).
- Дамп оперативной памяти: До выключения устройства создаётся дамп RAM с помощью специализированных утилит (WinPmem, LiME, FTK Imager). Это критически важно для выявления бесфайловых угроз и инжектированных модулей.
- Создание посекторного образа диска: Использование аппаратных блокираторов записи (write-blocker) для создания битовой копии (dd, E01) с фиксацией контрольных хеш-сумм (SHA-256).
Этап 2: Статический анализ артефактов 🔎
Анализ данных на образе диска без их выполнения.
- Сигнатурный поиск: Использование YARA-правил (база 5000+ сигнатур spyware) и собственных коллекций.
- Анализ автозагрузки (персистентности): Исследование всех точек запуска: ключи реестра (Run, RunOnce), планировщик задач (schtasks), службы (services.msc), WMI-подписки, драйверы ядра.
- Анализ MFT и UsnJrnl: Восстановление временной шкалы событий, дат создания, модификации и удаления файлов.
- Анализ теневых копий (VSS): Поиск удалённых установщиков в теневых копиях.
Этап 3: Анализ оперативной памяти (RAM Forensics) 🧬
Обнаружение инжектированных модулей, руткитов и бесфайловых угроз.
- Инструменты: Volatility Framework 3, Rekall, MemProcFS.
- Ключевые задачи:
- Выявление скрытых процессов (pslist, psscan).
- Обнаружение внедрённых DLL в легитимные процессы (dlllist, malfind).
- Анализ открытых сетевых сокетов (netscan).
- Поиск хуков в системные структуры ядра (apihooks, ssdt).
Этап 4: Сетевой анализ и выявление C&C-серверов 🌐
Любая программа-шпион нуждается в канале эксфильтрации данных.
- Источники: PCAP-логи, DNS-логи, логи прокси и межсетевых экранов.
- Индикаторы компрометации (IoC):
- Регулярные heartbeat-запросы к C&C-серверу (beacon-трафик).
- DNS-туннелирование (подозрительные длинные поддомены).
- Анализ TLS-сертификатов (JA3/JA3S-отпечатки).
- Геолокация серверов (часто Нидерланды, Россия, Германия, Сингапур).
Этап 5: Поведенческий анализ в изолированной среде (песочнице) 🏜️
Запуск подозрительных файлов в изолированной виртуальной среде для наблюдения за поведением.
- Инструменты: Cuckoo Sandbox, CAPE (форк с поддержкой Android), ANY.RUN.
- Индикаторы заражения в динамике:
- Вызовы SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP-адреса в нестандартные порты (5555, 6666, 31337).
- Создание скрытых окон (WS_EX_TOOLWINDOW).
💎 Глава 5. Юридическое оформление и процессуальная значимость результатов
Любой профессиональный поиск и выявление программ-слежения должен завершаться документом, имеющим юридическую силу. В российском законодательстве установка шпионского ПО без согласия пользователя подпадает под действие следующих статей УК РФ: ст. 137 (нарушение неприкосновенности частной жизни), ст. 138 (тайна переписки), ст. 272 (неправомерный доступ), ст. 273 (создание и распространение вредоносных программ) и ст. 183 (коммерческая тайна).
Структура экспертного заключения :
- Вводная часть: Основание для проведения экспертизы, данные об эксперте (предупреждение об ответственности по ст. 307 УК РФ), перечень предоставленных объектов и вопросы суда/следователя.
- Исследовательская часть: Пошаговое описание хода экспертизы с указанием применённых методов и инструментов, выявленных артефактов и их интерпретации. Обязательно включаются контрольные хеш-суммы (SHA-256) и фотографии ключевых этапов.
- Выводы: Мотивированные ответы на поставленные вопросы, логически вытекающие из исследовательской части. Выводы должны быть категоричными (не допускающими иных толкований) или, при невозможности, вероятными (с указанием причины).
Критерии допустимости доказательств :
- Неизменность объекта: Работа только с write-blocker.
- Документирование: Строгий протокол изъятия, фотофиксация, хеши.
- Воспроизводимость: Полный отчёт с командами, позволяющий любому эксперту повторить исследование.
- Аттестация эксперта: Сертификация по ФЗ № 73-ФЗ.
💎 Заключение
На основе проведённого анализа можно сформулировать следующие научно-практические выводы. Профессиональный поиск и выявление программ-слежения представляет собой комплексную, многоуровневую задачу, не сводимую к запуску антивирусного сканера. Современное шпионское ПО демонстрирует высокую степень адаптивности: от масштабных кампаний с использованием коммерческих имплантов (Dante, Tuoni) до узконаправленных руткитов уровня ядра (GoblinRAT) и закладок в прошивке EFI.
Эффективная методология поиска и выявления программ-слежения должна базироваться на сочетании нескольких подходов: статического анализа (включая YARA-сканирование и анализ точек персистентности), динамического анализа в песочнице, форензики оперативной памяти (для детекции бесфайловых угроз) и сетевого анализа (для выявления C&C-каналов и beacon-трафика).
Эмпирические исследования и реальные кейсы подтверждают, что использование многопризнаковых моделей (как в подходе ATSDetector) позволяет достичь точности детекции до 96.81%. Однако для наиболее сложных образцов, включая целевые импланты APT-группировок, необходим ручной реверс-инжиниринг и аппаратный анализ прошивок.
Обращение к сертифицированным специалистам, владеющим описанным инструментарием и методологией, является не просто рекомендацией, а научно обоснованной необходимостью для тех, кто ценит свою приватность, коммерческую тайну и финансовую безопасность. Только такой подход гарантирует не только обнаружение угрозы, но и формирование юридически значимых доказательств, приемлемых в рамках судебного разбирательства. 🔐⚡
Получить дополнительную информацию о методологии, условиях сотрудничества и стоимости услуг можно на нашем официальном сайте: https://fse.ms/poisk-programm-shpionov/ 🚀🌟

Задавайте любые вопросы